La Comisión Europea acaba de publicar un informe sobre el análisis de riesgos de ciberseguridad en redes 5G. Entre sus conclusiones, destacan distintos aspectos que podrían resultar clave a la hora de ayudar a mejorar la seguridad en las redes 5G. En ese sentido, Ricardo Silva, director de Operaciones de BlueTC, identifica dos aspectos que incumben tanto a Proveedores de Servicios Digitales (DSP) como a Fabricantes de Equipos de Telecomunicación (NEV) y que serían los siguientes:
• “Carencia de suficientes requisitos de seguridad en los procesos de adquisición de 5G. Esta situación puede responder a la adopción de estrategias inadecuadas en la selección de proveedores o a una falta de priorización de la seguridad sobre otros aspectos en el proceso de adquisición” (capítulo C, punto 2.35, página 21).
• “Falta de personal especializado y capacitado para asegurar, monitorizar y mantener redes 5G” (capítulo C, punto 2.35, página 20).
A partir de aquí, Ricardo Silva expone:
En el primer punto, además de los requisitos de seguridad específicos para los diferentes activos de la red, es conveniente que el operador, durante el proceso de adquisición, solicite al proveedor la ejecución de una auditoría de Ciclo de Vida de Desarrollo de Software Seguro (S-SDLC), que cubra desde evaluaciones de riesgos y modelos de amenazas hasta pruebas de vulnerabilidad y sus resultados. Dicha auditoría debe ser llevada a cabo por compañías independientes con experiencia en todo lo referente a la seguridad en redes de telecomunicaciones, a fin de que pueda ser capaz de detectar posibles brechas a través de la realización de pruebas de vulnerabilidad.
En relación con la falta de personal especializado y capacitado para asegurar, monitorizar y mantener redes 5G, hay varias acciones que se podrían realizar. En primer lugar, habilitar mecanismos (legislar e incentivar) para que el personal especializado de países fuera de la órbita de la EU pueda desplegar sus competencias en países europeos. Esto podría tener un doble beneficio: disponibilidad de personal especializado y fuentes de formación muy capacitadas. Evidentemente, debería ser una solución rápida y en el corto plazo. En segundo lugar, coordinar la formación universitaria y la formación profesional para cubrir todos los aspectos tecnológicos de 5G y de futuras tecnologías.
Por último, y no menos importante, sería la identificación de distintas aproximaciones que pudieran contribuir a reducir la complejidad de las redes 5G. A modo de ejemplo, estaría la complejidad de NFVI (Network Functions Virtualization Infrastructure). Los fabricantes de equipos de telecomunicación tradicionales están diseñando sus propios supuestos y requisitos de infraestructura con parámetros de diseño personalizados, lo que hace que los operadores de red tengan que exponerse a integraciones complejas y asiladas en silos de distintos proveedores con modelos operativos diferentes e incapaces de trabajar con el resto.
Con respecto a este último punto, hay que destacar el trabajo que lleva a cabo el Common NFVI Telco Taskforce (CNTT), que está arropado por la GSMA y la Linux Foundation. Su objetivo es obtener un Modelo de Referencia NFVI basado en un número limitado de arquitecturas de referencia, desarrollar requisitos de pruebas y verificación, y trabajar con el Programa de Verificación OPNFV (OVP) para definir un modelo VNF global. En este sentido, el mes pasado ya se ha publicado la “Common NFVI for Telco Reference Model”. En este modelo se incluye un capítulo sobre pautas de seguridad que incluye unos requisitos de certificación que, básicamente, formarían parte de la auditoría S-SDLC mencionada anteriormente.